公司被忽视的ICS网络安全差距

对关键基础设施工业控制系统(ICS)的网络攻击仍在上升，这在很大程度上是由于网络犯罪和地缘政治紧张局势的增加——具有讽刺意味的是，这种紧张局势是由过去十年中集中于破坏基本服务的网络攻击所加剧的。ICS领域的发展速度加剧了这一问题。工业物联网(IIoT)等技术的快速进步和向工业4.0的努力意味着攻击面正在增长，各行业基本上正在向日益复杂的威胁行为者开放其组织。一份报告IBM X-Force威胁情报指数2020(报告securityintelligence.com)发现，自2018年以来，作战技术(OT)攻击的数量增加了2000%以上。

此外，攻击的显著增加也是一个令人担忧的迹象，表明这些威胁行为者的速度超过了我们的ICS网络防御、资源和技能。当安全专家将注意力集中在消除威胁上时，仍然存在一个被广泛忽视的关键安全缺口——TCP/IP和串行网络设备安全之间的注意力差异。

为什么ICS将TCP/IP与串行网络相结合

早在20世纪60年代，ICS通信就由RS-232、RS-485和RS-422串行接口支持。串行协议如Modbus、Profibus、DNP3、IEC101和BACnet MS/TP在开发时没有考虑到安全性，因为它们打算部署在高度受控的环境中。另外，当时OT的网络攻击并不是一个问题。

然而，世纪之交带来了OT网络架构的广泛变革，TCP/IP接口变得越来越流行——与此同时，各行业正在逐步增加IT和OT网络之间的互连性。

然而，尽管网络框架发生了大规模的变化，串行连接设备通过主要占据ICS的网络物理层继续在ICS环境中流行，并因此成为有动机的威胁行为者的主要目标。这些传统设备不会消失，在未来几年仍将至关重要。这可以归结为它们的使用寿命长，资产所有者不愿意更换它们所需的费用和大量停机时间。同样，ICS供应商仍然选择支持RS-232、RS-485和RS-422串行接口，因为它们可靠、廉价且得到普遍支持。

为什么串行网络安全很重要

如今，ICS网络安全平台专注于控制工业流程的高级TCP/IP，而不是控制器和设备之间的实际串行通信。这些设备控制着从电力、天然气管道上的压力阀到用于处理饮用水的化学调节器等一切，因此对于安全和可靠的基本服务至关重要。

安全从业者经常忽略的是，最重要的安全挑战在于这些串行连接的现场设备。目前实现的大多数串行通信不支持命令的加密和身份验证，因此容易受到窃听、拦截、重放攻击和未经身份验证的命令执行的影响。爱达荷国家实验室发表的一篇题为美国电力行业网络威胁与漏洞分析(2016年8月)）引用:

“整个ICS网络使用的通信协议是另一个值得关注的问题。在整个电力系统中使用的常见和长期建立的ICS协议，如Modbus和DNP3，很少或没有安全措施:缺乏身份验证功能，消息可能会被拦截、欺骗或更改，可能会在操作环境中导致危险事件。”

[迈克尔·罗宾逊，《SCADA威胁格局》，BCS, 2013年9月]

这些设备不仅本身就容易受到网络攻击，而且它们的通信数据经常丢失给更高级别的入侵检测平台。当设备位于最后一条控制线时，这些安全限制会被放大;因此，攻击者现在正将注意力转向这些难以访问但不太安全的网络。

网络安全挑战

虽然TCP/IP网络安全平台加强了OT网络防御，但它们无法应对实际的基于串行的漏洞。对于依赖串行连接控制器的操作，平台仅保护1级(现场控制器)的网络通信，并且不监控或保护现场控制器和现场设备之间(1级- 0级)的最后一弗隆内的通信。

此外，入侵检测工具监控来自1级现场控制器的数据。如果对手破坏或拦截1-0级之间的通信，他们可以欺骗数据以显示正常操作，同时利用工业物理过程，即他们可以欺骗上游的清洁通信并向下游发送恶意通信。这就是Stuxnet如何成功地利用了伊朗的铀浓缩离心机，而毫无防备的操作人员只有在设备损坏到无法修复时才意识到出了问题。

11年过去了，尽管ICS安全性已经取得了很大的进步，但基于串行的安全性仍然被显著且令人惊讶地忽视了。资产所有者被供应商关于ICS安全状况的误导性信息或缺乏信息所误导，产生了错误的安全感。较小的工业场所也可能对袭击的可能性不以为然。但就像Stuxnet病毒感染了全球数百万台电脑一样，它们也有可能成为目标不那么精确的网络攻击的附带损害。此外，许多资产所有者认为ICS网络安全是一种一刀切的方法，但只要部署了串行通信，这就无法实现。

缩小网络安全、网络差距

在过去的十年中，对可靠ICS监控工具的需求已经得到了充分的证明。刊物包括电力公用事业NIST态势感知NIST SP 1800-7实践指南声明:

“为了提高整体SA，能源公司需要从ICS中捕获、传输、查看、分析和存储实时或近实时数据的机制”……”这样做的能力将导致更早地检测到网络安全事件，并有可能降低这些事件对公用事业运营基础设施影响的严重程度。”

虽然目前市场上有一系列ICS监控工具，但它们只覆盖TCP/IP网络。为了从串行连接的现场设备获取实时数据，操作人员必须通过串行总线捕获数据——即从现场控制器传输到现场设备的数据，反之亦然。这将使他们能够验证他们的设备的行为，并快速识别异常通信。

但是，在将监控工具集成到串行网络时，一定要谨慎。操作人员必须确保监控设备不会干扰串行线路的完整性，并在无意中引入操作风险或延迟，或为网络创建不必要的攻击向量。

这篇文章最初发表在Cynalytica的博客。Cynalytica是CFE Media的内容合作伙伴。由Chris Vavra编辑，web内容经理，CFE媒体和技术，cvavra@cfemedia.com。

Cynalytica, Inc.是控制系统集成商协会。欲了解更多，请访问公司简介工业自动化交易所。

原始内容可以在cynalytica.com。

您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献，并获得你和你的公司应得的认可。点击在这里开始这个过程。